目录服务主要解决在多服务器网络环境中有效地组织、管理、共享网络资源的问题。目录服务是信息数据库，在计算环境中，用于简便有效地存储，访问，管理，和使用各种用户和资源的信息。由于用户信息及网络资源通过目录服务集中管理，所以管理整个网络就变得非常容易，利用目录服务能有效地降低管理成本，提高管理效率。许多公司都意识到它的重要性，如：Microsoft也决定加入目录服务的竞争中。Novell公司第一个在Netware4网络操作系统中新增了目录服务（NDS)。下面介绍NDS的概念及主要功能，使用户较为系统的了解NDS的基础知识，为NDS的规划，实现和管理打基础。

　　一、NDS的概念及特点

　　NDS是建立在NetWare4上的跨越全网络的分布式关系数据库，用于维护网络上所有资源的信息。它是一个目录服务面向对象的应用，允许

你建立复杂的命名方案。NDS提供用户根据所授权限访问所有的网络资源，而不考虑它们的物理位置。 NDS具有以下特点：　　用户注册到多

服务器网络中和测览整个网络就好像在一个单一的信息系统里，从而提高生产力减少管理费用。

　　NDS系统不提供对文件系统的管理服务。

　　一次就可以建立整个网络上的用户帐户

　　NDS结构允许简单和有效的管理整个网络和它的资源。无论在网络上任何位置的系统管理员都可使用相同的管理程序和资源对象数据库。

　　NDS体系结构可以构造一个全范围的安全防御。如：所有对网络资源的权力都是通过ACL表建立，而且管理很容易。

　　NDS的分层数据库结构设计减少了网络通信量且使检索对象和属性很容易有效。如：可以查询整个目录树去寻找一个对象。

　　NDS的分层设计允许容易地变更网络结构。

　　NDS有一个模块设计允许你定制任何尺寸和类型的网络。

　　NDS提供与已有的Novell和第三方产品的兼容。特别地， NDS提供在NetWare2和NetWare3网络系统里的装订服务。

　　二、NDS的构成要素

　　1．目录树

　　NDS是通过一种称为"目录树"的逻辑结构起作用的。目录树是NDS数据库里用来组织对象的一个分层结构，目录树中包括用于组织网络的容

器对象和表示资源的叶对象。

　　目录树有以下元素组成：

　　(1）目录图表

　　目录图表里定义如何构造目录树的规则。即定义特定类型的信息表述在目录数据库里信息存储的方法。表中定义了属性信息，继承权，命

名及从属性等信息。

　　(2) 目录对象

　　目录对象是储存关于网络资源信息的NDS结构，不是以对象作为正直实体。例如，一个打印对象储存的信息是关于一个特定的打印机和帮

助如何使用这个打印机的，但不是真正的打印机本身。这些对象代表实际的和逻辑的资源，象用户和打印机，或组和打印队列。

　　NDS有三种对象：

　　A.根对象[Root]即目录树名）。根对象在树的顶点。它提供一个最高点去访问不同的国家和组织对象，且允许托管人分配允许的权力给整

个目录树。一旦命名了根对象，它就不能被改名或删除。

　　B.容器对象（Contalner）。容器对象是包含其他对象的对象。容器对象用于逻辑地组织在目录树中的所有其他对象。容器对象有以下三

种类型：

　　国家对象（Country）：位于根对象的下面，它指明你的网络所在国家且组织在这个国家里的其他对象。

　　组织对象（Organization）：组织在目录树中的其他对象。每一个目录树必须至少包含一个组织对象。它必须直接放在根对象的下面，除

非使用了国家对象。

　　组织单元对象（Organization Unit）：组织在目录树中的叶对象，它必须直接放在一个组织，另一个组织单元对象的下面。

　　C．叶对象（Leaf）。叶对象在分支的未端且不包含任何其他对象。这些对象代表真正的网络实体，如象用户、服务器、打印机、计算机

等。

　　(3）对象属性

　　对象属性是NDS对象的一个特征，如注册名、Email地址等。每一类对象都有其特定的属性。它包含对象的相关信息。

　　管理目录树有以下管理工具：

　　(1）对象权力

　　对象权力适用于NDS对象。它是分配给对象的权力，控制这个对象对目录，文件或其他对象做什么、操作。它使一个对象的委托人从上层

对象中旬以继承权力。对象权务只控制对象，对属性或属性权力无效。对象的权限控制对象的托管者用那个对象能做什么操作。

　　（2）属性权力

　　控制对象属性里的信息，你必须有属性权力。它控制访问一个对象里的每一个属性。属性权力只适用于NDS对象属性，而不是对象本身。

对象权力和属性权力是分开分配的。

　　（3）访问控制列表(ACL）

　　它是包含有一个对象记述其他对象可以访问这个对象的信息列表。在NDS数据库中它是每个对象的一个属性。托管人和继承权屏蔽（IRF）

被包含在ACL里。

　　 (4）继承权屏蔽（IRF）

　　继承权屏蔽（IRF）是对目录的一部分、文件和对象的屏蔽，控制一个托管人可以从父目录和容器对象继承的权力的名单。通过继承权，

在目录树里每一个对象和属性可以有

　　一个继承权屏蔽。

　　（5）有效权力

　　所谓有效权力是指能够有效运用的权限。它是一个对象正真可以看或修改某个目录，文件或对象的权力。这些权限被直接授予用户。继承

权的组合，在一个ACL中的委托人分配权和安全性等效都构成有效权力。一个对象的有效权力控制访问另一个对象和它的属性。

　　（6）安全性等效

　　用户具有的与其他用户相同的目录和文件权限及目录树权限。它是每一个用户对象的属性里列出的在一个容器里其他对象比照这个用户对

象具有的权力。安全性等效不但对对象也对文件和目录有效。使用安全性等效属性分配用户的是暂时的等价权限。安全性等效属性不能转移。

通过使用安全性等效属性，你可以避免回顾整个目录结构和决定哪一个权力需要指派给哪一个目录、文件和对象。

　　2．支系和命名

　　在NDS中。支系（context）是一个对象在目录树中它的容器对象里的位置。支系对NDS找出指定的网络资源很重要。从一个对象到目录树

根的完整支系或路径构成这个对象的识别名（DN）。从一个对象到另一个对象的支系或路径构成这个对象的相关识别名（RDN）。所有的叶对

象都有一个公共名。目录树中有两种类型的名字：显示类型和不显示类型的。对象命名也有一定的规则。在目录树中，所有的DN必须唯一。在

容器里，所有的容器名和对象名必须唯一。NetWare服务器对象和在装订服务中的对象的命名有一定的限制。

三、NDS的管理特性

　　NDS体系结构的管理包括对象的建立和管理及目录分区的分配和复制。

　　1．用户对象ADMIN

　　ADMIN用户有对整个目录树的管理控制权，所以，为了将其他用户加到目录树上，用户必须首先以ADMIN的身份注册，借助于ADMIN的注册

名、口令、以及ADMIN所在的包容对象，用户就可以注册人网。ADMIN给目录树中的对象和属性所有的权力。除非ADMIN把系统员权力分配给根

对象或另外的用户对象，否则决不能删除它。

　　2．目录分区

　　分区是一个分割目录的过程。一个大的目录可以包含上千个对象的信息，分区使在多个服务器之间分配目录成为可能。分区可以提供容易

的管理和伸缩性。

　　目录分区是目录数据库（NDS）中可以被复制的逻辑部分。它们在目录树中形成一个不同的数据单元用于存储和复制目录信息。一个分区

的数据至少存放在一台服务器上。NDS分区的信息对网络用户是透明的，使网络看起来象一个单一的，内聚的资源的集合。

　　分区是在容器对象里建立的。一个容器里的所有叶对象与容器对象在同一个分区里。一个分区是由最接近根的容器命名。一个分区是目录

树的一个分支或子树。根对象总是包含在第一个创建的分区里，这个分区叫根分区。当一个分区从属于另一个时，称它为子分区。这个分区上

面的叫父分区。

　　目录分区有以下一些特性：

　　(1)分区只包含NDS对象和有关的数据。不包含文件系统的目录和文件信息。

　　(2)一个NDS对象只能存在于一个分区。

　　(3)分区只存储在NetWare 4服务器中。

　　(4)一个单个的NetWare4服务器可以包含多个分区。

　　(5)分区不能彼此重叠。

　　3．分区复制

　　复制是NetWare目录分区的拷贝，存放在不同的服务器上。一个分区可创立无数个复制。复制包含分区分支里的对象的真实目录数据。复

制由网络管理员管理。

　　复制的建立有两个目的：

　　(1)日录容错，排除任意单点的失效。假如一个磁盘或一个服务器失效，在另一个位置的服务器的复制可以继续核实用户人网，提供失效

服务器上对象的信息。

　　（2）通过广域网线路决速访问。在要访问的本地服务器上放置一个包含所需信息的异地目录的复制，可以减少访问时间和广域网通信量

。

　　复制有四种类型，在目录中有不同的作用：

　　主复制。定义分区时最初创立的复制。包含这个分区所有对象的信息。所有分区操作（创立，合并，移动，创立复制，删除复制，修改）

的发生都来自于这个分区的主复制。

　　一个分区只能定义一个主复制。当改变一个主复制里的对象时，改变将传送给那个分区里的所有其他复制。

　　读／写复制。是一个分区的拷贝。一个分区可以有多个读/写复制。当改变一个读／写复制里的对象时，改变将传送给那个分区里的所有

其他复制。不能用读／写复制再去定义分区分支。客户工作站只可以更新主和读／写复制。

　　只读复制。接收和传送对主复制和读／写复制的改变。一个分区可以有多个只读复制。它包含和分区一样的对象信息，但这些信息只能读

不能修改。

　　从属复制。不同与其他复制类型。它不包含对象数据，起类似指针的作用。不能被任何用户修改。在一个器上，假如有父分区主，读／写

，或只读复制并且子分区复制不存在时，它通过NDS自动放置在这个服务器上。假如那个子分区的读／写，或只读复制增加到这个服务器上，

它自动被删除。

　　4．目录同步

　　目录同步可以确保整个目录数据库保持一致。在一个分区里对对象作改变时，只有这些改变被自动发送给那个分区的所有其他复制。如，

改变了电话号码，只发送新的电话号码，不是整个用户对象。一些改变会立刻发送给其他复制。不太重要的改变在被发送给网络之前会在一个

短时间内局部地集中。

　　主复制通过与其他复制交换更新的信息来参与分区的同步过程，但是在这个过程中它不是控制实体。每个读/写复制和只读复制也与分区

其他复制同步，但只读复制只从其他服务器接收更新的信息。

　　一个NDS数据库是一个"松散一致""的数据库。当改变发生时，一个分区的所有复制在每一个瞬间不总是包含确切相同的信息。事实上，在

任意指定的时间，复制的内容很可能有细微的不同。不过一旦这些改变发送给所有的复制，这些复制最后会集中到一个一致的状态。同步发生

时，每一个复制必须相互联络。

　　四、NDS装订服务

　　装订服务提供对早于NetWare 4的客户机和应用的后台兼容，对工作站软件末升级的用户提供现时的迁移。设置了装订服务的容器对象，

称为装订支系。如没有设置装订支系，NDS不支持装订服务。只有在装订支系里的对象才可以使用装订服务。

　　对于装订服务， NDS为组织和组织单元对象集里的叶对象模拟了一个平坦结构，这样，当装订服务有效时，在指定容器的装订支系中的所

有对象才能被NDS对象和基于装订的服务器及客户工作站访问。包容服务器对象的容器对象被缺省地激活装订服务和设置装订支系。装订支系

可以用SET和SERVMAN服务器实用程序来设置和改变，结果存放在AUTOEXEC．NCF文件里。

　　（1）创建或改变装订支系有以下规则：

　　分区的读／写或主复制含有所有的容器，这些容器是装订支系的一部分。他们必须存储在能够使用装订服务的服务器上。

　　假如在一个以上的容器中存在相同的公共名，当那个对象请求装订服务时，在装订支系里被列出的第一个容器是这个对象使用的。

　　通过装订服务，在NDS里的容器和用户对象的注册文本是无效的。假如要求注册文本，用SYSCON在卷SYS里的＼MAIL目录下建立。

　　如果建立对象用于装订服务，所有对象将建立在被列出的第一个装订支系里。

　　每个服务器至多可建立16个装订支系。

　　使用SET BINDERY CONTEXT＝context命令建立装订支系。装订支系直到服务器重新启动才有效。

　　在服务器上使用CONFIG命令验证哪一个装订支系是被激活正在使用的。

　　（2）在多个容器里建立装订支系：

　　如果单个服务器上的多个容器里有对象需要访问的装订资源，需要在多个容器里设置装订支系。这意味着：

　　A.多重装订支系可能要求在那个服务器上包含多个复制。

　　B.假如对象有相同的相关识别名（RDN）被包含在这个装订支系的多个容器里，多重装订支系可能产生问题。


五、时间同步

　　时间同步是通过网络服务器维护一个一致时间标准的服务。时间同步为操作NDS技术建立事件的次序，纠正时间的偏差度使所有在目录树

中的服务器广播相同时间，并为NDS事件的次序提供一个时间标志（时间标志建立事件的顺序，记录，"正真世界"时间值设立终止日期。）。

　　同步服务是通过时间服务器提供。时间服务器为NDS用于识别和目录事件排序的时间标志提供一致的时间源。时间服务器确保时间标志的

正确。

　　（1）NetWare 4有四种类型的时间服务器：

　　单一参考服务器。提供时间给从属服务器和他们自己的客户工作站。它为整个网络决定时间，是网络的时间源，所有的其他服务器必须和

它联络。网络管理员在单一参考服务器上设置时间。假如使用单一参考服务器，不能使用任何主或参考服务器以免时间参考发生冲突。

　　主服务器。至少与另一个主服务器或参考服务器同步，且提供时间给从属服务器井直接给客户工作站。主服务器也探询其他主。参考服务

器，从而表决选出公共的网络时间。并调整他们的内部时钟与公共的网络维护时间同步。至少有一个其他主服务器或主服务器可以联络的参考服务

器。每当主和参考服务器在网络上时，他们必须为了探询能彼此联络。

　　参考服务器。提供所有其他时间服务器和客户工作站可以同步的时间，它可以和一个外部时间源同步。它不调整它的内部时钟，只调整其

他类型服务器的时钟与它同步。当网络上必须设置一个控制时间的中心点时，要使用参考服务器。通常，一个网络上只安装一个参考服务器。

至少有一个主服务器与参考服务器可以彼此联络表决选出一个正确时间。

　　从属服务器。它从其他服务器获得时间。它调整自己的内部时钟与网络时间同步，只给客户工作站提供时间。它不参与决定正确的网络时

间。如果指定一个服务器作为单一参考服务器，在网络上的其他服务器都被指定为从属服务器。为了使网络通信量最少，使用最靠近主或参考

服务器的从属服务器。

　　（2）时间源服务器的功能

　　参考、主、和单一参考服务器称为时间源服务器，他们提供时间给网络。从属服务器不提供时间给其他服务器；他们只从一个时间源服务

器接收时间。时间源服务器用两种方法之一彼此寻找：服务广播协议（SAP）或客户配置。

　　缺省时、主、参考、单一参考服务器用SAP广播他们在网络上的存在。为了决定网络时间，主和参考器用SAP的信息决定其他服务器与其－

联络。从属服务器用SAP信息来选择一个服务器来跟随。

　　客户配置可更好地控制时间同步，但要求更有效地规划同步服务器。它可以消除不必要的SAP通信量和附属配置的误差；可以列出一个服

务器必须联络的特定时间源服务器表；也可以指定一个服务器不收听从另一个时间源服务器来的SAP信息和不使用SAP广播它的存在。

　　（3）选择一个时间同步方法

　　可以使用SAP和客户配置方法。不过，存储在服务器上的客户配置的信息总是优先于SAP信息被服务器接收。假如一个服务器没有客户配置

信息，SAP信息才用于时间同步。

　　在小的网络上，在初始化安装后，增加服务器和重配置未必可能，你应用单一参考服务器使用SAP。

　　在大的网络上，或当增加或减少服务器，网络遵循惯常配置时，要使用客户配置。